一.Selinux的功能
1selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context),
对于程序功能的影响:
当selinux程序开启后会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool
二.Selinux的状态及管理
vim /etc/selinux/config
SELINUX=disabled #selinux关闭
SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive #selinux开机设定为警告状态此状态selinux开启
“selinux开启或关闭需要重启系统”
enforcing:
不符合条件一定不能被允许,并会收到警告信息
permissive:
不符合条件被允许,并会收到警告信息
selinux状态的查看:getenforce
selinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制
selinux日志位置:
/var/log/audit/audit.log
三.Selinux的安全上下文
1.查看
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axZ ##查看进程的安全上下文
2.修改安全上下文
临时修改
此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /westosdir/westosfile
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文
永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l | grep /var/ftp 查看内核安全上下文列表 
semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
restorecon -RvvF /westosdir/
四.SEBOOL
getsebool -a | grep ftp 现实服务的bool值
setsebool -P ftpd_anon_write on 更改
五.SEPORT
semanage port -l | grep ssh(软件名称)
semanage port -a -t ssh_port_t 1111 -p tcp 添加1111端口
semanage port -d -t ssh_port_t 1111 -p tcp 删除1111端口
六.setrouble
/var/log/audit/audit.log selinux警告信息
/var/log/messages selinux问题解决方案
#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中
测试:> /var/log/audit/audit.log >/var/log/messages
touch /mnt/lee
mv /mnt/lee /var/ftp 将lee移到ftp发布目录
lftp 172.25.254.150ls
cat /var/log/audit/audit.log 能够看到警告信息
cat /var/log/messages #能看到警告信息和解决方案
rpm -qa | grep setrouble #查看setroubleshoot-server 服务
restorecon -RvvF /var/ftp/lee #按照提供的方案解决问题
扫一扫
868
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
